Sahte bulut madenciliği platformlarında kullanıcıları istismar eden ‘Roamer’ adlı yeni keşfedilen bir bankacılık truva atı bulundu.
Roamer bankacılık truva atının arkasındaki dolandırıcılar, özenle hazırlanmış kimlik avı web siteleri aracılığıyla kullanıcılarla etkileşime geçer. Bu hileli web siteleri, kullanıcıları hassas verileri çalmak için özel olarak tasarlanmış uygulamaları indirmeye yönlendirir.
Bu sırada dolandırıcılar, kripto para birimi işlemleriyle ilgili bilgileri izlemek ve çıkarmak için bu fırsattan yararlanır.
Roamer bankacılık truva atı neleri çalıyor?
Gezici bankacılık truva atı, kötü amaçlı görevleri yürütmek için komutlar alabilir.
Cyble Research & Intelligence Labs (CRIL), Gezici Bankacılık Truva Atı’nın “x0000myview” komutunu aldıktan sonra bir dizi işlemi yürütme yeteneğine sahip olduğu örnekleri keşfetti. Bunlar, çok sayıda görevi gerçekleştirmek için pinUnlock, slideup, multiClick ve daha fazlası gibi kodları içeriyordu.
Roamer bankacılık truva atı, hedeflenen kullanıcının kamerasına, cihazdaki dosyalara, kullanıcının bulunduğu yere, SMS’lere erişir ve ekrandaki verilerin ekran görüntülerini alır.
Gezici bankacılık truva atı insanları nasıl hedefler?
CRIL araştırmacıları “bankacılık truva atının arkasındaki dolandırıcıların, masum kişileri cezbetmek için kendi web sitelerini, uygulamalarını ve bir Telegram kanalını kullandıklarını kaydetti. Gezici bankacılık truva atı, Android cihazlarda çalışacak şekilde tasarlanmıştır.
Cyble blogu, “Son yıllarda, bulut madenciliği, kapsamlı teknik uzmanlık veya maliyetli madencilik donanımı olmadan kripto para birimi alemine girmek isteyen kişiler için uygun bir seçenek haline geldi” dedi. Bulut madenciliği, kullanıcıların Bitcoin ve Ethereum dahil olmak üzere kripto para birimlerini uzaktan madencilik yapmasına olanak tanır.
Kullanıcıların siber suçlara yakalandığı kimlik avı siteleri –
- Hxxps://cloudmining.uk[.]iletişim
- Hxxps://bulut madenci[.]cc
- Hxxps://bulut madenci[.]top – Bu web sitesi, aşağıda gösterildiği gibi, yukarıdaki ikisinden görünüm olarak farklıydı:
Roamer Android kötü amaçlı yazılımı Telegram kanalı aracılığıyla yayılıyor
Cloud Mining adlı Telegram kanalı, CRIL araştırmacıları tarafından tespit edildi. Bu kanalın 15 Mayıs 2023’ten beri faaliyette olması, dolandırıcılığın oldukça yeni olduğunu ve şimdiye kadar çok fazla kurbanı olmayabileceğini gösteriyor.
Bu yazının yazıldığı sırada beş binin üzerinde abonesi olan Telegram kanalı, bulut madenciliği planları hakkında düzenli güncellemeler yayınlamak için kullanılıyordu.
Kanal açıklamasında, “Bulut madenciliği, özel veri merkezlerinde barındırılan madencilik ekipmanının bilgi işlem gücünü, ekipmana sahip olmadan veya ekipmanın bakımını yapmadan kullanmanıza olanak tanır.”
Cyble tarafından Cloud Mining’de bulunan bir gönderi, kullanıcıları meşru olduğunu iddia eden sahte bir bağlantıyı indirmeye çağırdı ve ayrıca diğer kullanıcıları davet etmek için bir komisyon teklif etti. CloudMining.apk adlı bir APK dosyasının indirilmesi istenir.
Roamer bulaşmış Cloud Mining web sitesinde bir hesap oluşturma
Kullanıcılardan Cloud Mining’in dolandırıcı web sitesine kaydolmaları ve bunun için bilgilerini girmeleri istenir. TRX para birimini transfer ederek hesaplarını yeniden doldurmaları istenir. Web sitesinde işlemleri başlatmak için bir QR kodu vardır.
Roamer madenciliği kötü amaçlı yazılımı, cihazdaki verilere erişmek için kullandığı erişilebilirlik hizmetini etkinleştirmek için izin istiyor.
Araştırmacılar ayrıca, kullanıcıları oyunlara ve alışveriş merkezlerine benzer adlarla kandıran 15 başka kötü amaçlı yazılım örneği buldu.
Roamer kripto kötü amaçlı yazılımı Coinbase, Bitso ve Huobi dahil olmak üzere 17 cüzdanı hedefliyor. Ayrıca cihazdaki HDFC, MSB ve SCB mobil bankacılık olmak üzere 9 bankacılık uygulamasından gelen verilere erişir.
Kullanıcıların, özel hazırlanmış bir web sitesi olabileceğinden, oyunlarla, alışveriş web siteleriyle ve kripto cüzdanlarla ilgili rastgele web sitelerine tıklamamaları önerilir.
Roamer kötü amaçlı yazılımına yönelik uygulamada Google Play Store ve diğerlerininkine benzer simgeler bulunduğundan, kullanıcıların çevrimiçi web sitelerinden uygulama mağazalarına erişirken dikkatli olmaları önerilir.
Cloud Mining’in phishing sitesinde yer alan uygulama mağazası simgesinin, kullanıcıları uygulama mağazasına götürmediğini belirtmekte fayda var. Bunun yerine, uygulama mağazası simgesini gösterirken doğrudan bilgisayar korsanının web sitesinden kötü amaçlı uygulamayı indirmeye başladı.